http://www.arocmag.com/article/02-2019-07-035.html 


完全 隐藏 策略 的 基于 属性 可 搜索 加 密 方案 
许 盛 伟 ?， 王 荣 荣 "?， 赵 海 "” 


(1. 北京 电子 科技 学 院 ,， 北京 100070; 2. 西安 电子 科技 大 学 通信 工程 学 院 , 西安 710071) 


摘 要 : 目前 的 基于 属性 可 搜索 加 密 方案 (ATITPEKS)， 虽 然 解 决 了 关键 词 密 文 只 能 被 唯一 用 户 搜索 的 限制 ， 实 现 了 
加 密 数 据 的 多 用 户 共享 ， 但 是 却 没有 隐藏 访问 策略 ,访问 策略 一 旦 被 不 好 奇 且 不 可 信赖 的 服务 器 攻击 者 获取 到 ， 可 能 
会 造成 机 密 信 息 的 泄露 。 所 以 ， 为 了 解决 此 问题 ， 提 出 了 完全 隐藏 策略 的 基于 属性 可 搜索 加 密 方 案 ， 并 给 出 了 具体 的 


算法 构造 ， 使 得 方案 不 仅 具 有 多 用 户 数 据 共享 的 优势 ， 还 实现 了 访问 策略 的 完全 隐藏 。 并 对 此 方案 进行 了 安全 性 以 及 
性 能 分 析 ， 证 明了 方案 具有 在 属性 集合 模型 下 的 抗 攻击 性 安全 ， 还 能 保证 索引 和 关键 词 明 文 的 机 密 性 。 在 性 能 方面 使 


用 较 少 的 运算 量 就 可 以 实现 隐藏 访问 策略 和 加 密 数 据 共享 两 大 功 
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Abstract: The current Attributa-based public encryption with keyword search(ATT-PEKS) , although it solves the problem 


that the keyword ciphertext can only be uniquely searched by the user to enable multi-user share of encrypted data, it does not 


hide the access structure. Once the access structure ls obtained by unreliable servers attackers, it may be exposed to confidential 


information. Therefore, in order to solve this problem, this paper proposed an attributa-based public encryption scheme with 


keyword search that completely hides the access structure, which not only preserved the advantages of ATT-PEKS to realize 


multi-user data sharing, but also realized the complete concealment of the access structure that prevents the policy information 
leaking. And it analyzed the security and performance of the scheme. The simulation game proves that the scheme has the anti- 
= attack security under the attribute set model, and also ensures the confidentiality of the index and the key words. The use of less 
computing power in terms of performance can be achieved hidden access policies and encrypted data sharing two functions. 
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全 “站 [党 Perrig 等 人 器 率先 提出 可 搜索 加 密 技 术 的 概念 ,正如 字面 所 

体现 的 那样 ， 此 技术 不 仅 能 实现 加 密 操作 ， 防 止 用户 数 据 隐私 
在 数据 爆炸 的 当今 社会 ， 数 据 存 储 和 共享 的 问题 在 云 技术 ”的 泄露 ， 还 能 通过 密 文 的 搜索 ， 具 有 很 好 的 应 用 行 和 适应 性 。 
的 来 临 后 而 得 到 了 很 好 的 解决 。 但 弊端 就 是 用 户 消息 没有 进行 。 但 是 存在 的 不 足 就 是 数据 搜索 者 只 能 检索 自己 事先 存在 云 上 的 
密 处 理 ， 云 存储 管理 员 可 以 访问 甚至 获得 用 户 的 数据 ， 这 样 密 文 数据 ， 也 就 是 数据 只 能 被 唯一 用 户 检索 ， 并 不 能 达到 数据 
上 来 了 很 大 的 安全 隐患 。 因 此 ， 目 前 部 分 云 存储 中 心 采 ”共享 。 
密 文 存储 方式 对 用 户 数据 进行 保护 防止 用 户 隐 私 泄露 的 风险 。 2004 年 Boneh 等 人 中 针对 在 邮件 系统 中 ,搜索 带 有 关键 词 
但 是 同样 也 面临 问题 ， 如 用 户 怎样 在 云 服务 器 搜索 后 能 找到 想 ”的 邮件 场景 下 采用 基于 身份 的 加 密 体制 设计 出 了 一 套 公 钥 可 搜 
要 的 密 文 数 据 ， 且 不 在 搜索 过 程 中 泄露 数据 信息 内 容 ， 并 且 加 。” 索 加 密 方案 (PEKS)。 之 后 Dong 等 人 又 在 此 基础 上 实现 了 对 
密 操作 破 环 了 原先 明文 数据 的 值 以 及 大 小 关系 ， 其 不 再 具有 可 关键 词 可 以 实现 “与 操作 的 公 钥 可 搜索 加 密 方案 。2011 年 Cao 
供 检索 的 语义 和 统计 特性 。 为 了 解决 这 些 问 题 ， 可 加密。 ”等 人 中 又 提出 了 可 以 实现 多 关键 词 检索 的 公 钥 可 搜索 加 密 方案 。 
技术 应 运 而 生 ， 引起 了 人 们 的 广泛 关注 和 大 量 研 愉 。 但 是 这 些 方案 的 通信 模式 都 是 “一 对 一 ”9 的 ， 即 加 密 数 据 的 面 
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录用 稿 
向 检索 对 象 只 能 是 唯一 用 户 。 
为 了 解决 以 上 的 数据 共享 问题 ,| 


Sahai 等 人 [9 率先 


加 密 代 价 ， 让 加 密 数 据 i 
属性 的 加 密 (ABE)〉 体制 中 寻 
是 出 来 的 。 


加 密 体 制 ， 
的 “一 对 一 ” 通 


个 用 户 进行 搜索 。ABE 的 加 密 方 
问 策略 ， 并 在 此 者 


户 


于 用 户 属性 和 访 


体制 ， 


它 比 基于 身 


份 的 加 密 体 制 


提高 检索 效率 ， 减 少 多 次 
让 更 多 的 用 户 搜 索 ， 研 究 者 ] 
找 突破 点 。ABE 是 在 2006 年 | 
它 不 同 于 传统 的 基于 
应 用 性 更 强 ， 突 破 了 传统 
信和 方式 ， 即 能 够 实现 数据 只 加 密 一 次 就 可 以 被 多 


开始 从 基于 


身份 (IBE) 


式 不 
而 


EE 


分 别 为 CP-ABE ( 密 文 策 


各 的 属性 基 加 密 


ABE ( 密 钥 策 略 的 属性 


问 策略 (或 称 访问 
性 来 生成 的 ; 


基 加 密 机 钉 
结构 ) 进行 加 密 的 ， 用 户 私 钥 是 通过 用 户 属 
KP-ABE 是 与 CP-ABE 
文 是 通过 用 户 属性 来 进行 加 密 , 用 户 密 


)。CP-ABE 的 


正好 相反 的 过 


依赖 于 身份 ， 而 是 依赖 
上 提出 了 两 种 ABE 加 密 


机 制 ) 和 


密 文 是 通过 访 


KP- 


程 ， 


钥 是 通过 访问 策略 生成 。 


显然 ,两 种 加 密 


ABE 加 密 体制 适 | 


可 以 根 - 
于 “过 滤 ” 


居 需 求 适 
用 户 的 场景 ， 


即 数 ] 


盟 性 的 


对 数据 进行 加 密 


于 不 同 的 应 用 场景 , CP- 
据 # 
用 户 解密 数据 ， 那 就 设计 一 个 策略 
， 只 有 满足 这 个 策略 的 用 户 才能 解密 数据 ， 不 


有 者 (DO ) 


如 果 只 想 让 具有 某 
他 
| 


满足 此 策略 的 
索 到 授权 多半 


] 户 全 都 无 法 解密 数据 , 即 只 有 授 
访问 的 信息 中 ; 


钥 馈 ， 凡 是 使 
达 此 用 


2014 年 李 双 等 人 [9] 通 


满足 此 策略 的 属 
户 这 来 进行 解密 ， 达 到 也 
过 借鉴 CP-ABE 体制 


权 用 


ra 


户 才 能 搜 


KP-ABE 是 用 户 | 
性 进行 加 密 的 数 


过 滤 ” 数 据 的 


届 


次 提出 了 基于 属性 


的 可 搜索 加 密 方案 ， 并 设计 出 
及 安全 分 析 ， 解 决 了 加 密 数 据 可 被 多 方 搜索 的 难题 ， 


JJ 由 


的 加 密 特 性 , 首 


各 来 生成 私 
据 ， 都 可 以 到 
的 。 


了 具体 算法 以 
提高 了 检 


索 效率 ， 特 别 适用 于 云 服务 器 上 数据 的 检索 。 en 
就 是 访问 策略 的 暴露 ， 在 此 方案 中 ， 服 务 器 是 可 以 获得 密 文 加 
密 时 的 访问 策略 的 。 有 时 不 仅 加 密 et 
略 中 也 可 以 提取 出 好 多 机 密 信息 ， 尤 其 是 军 方 0 


领域 的 应 用 ， 
可 估量 的 损失 。 
为 达到 


隐藏 访问 策 


略 的 安全 性 。 所 以 ， 


隐藏 访问 策略 ,文献 
问 策略 的 ABE 加 密 方 案 , 文献 [12] 提 
各 的 CP-ABE 加 密 体制 ， 
通过 文献 [12] 


革 如 


且 从 访问 策略 中 提取 出 敏感 数据 ， 关 


[10~11] 都 设计 出 


总 出 
落 
污 粘 
ea 


了 隐藏 部 分 访 


同时 保护 了 


的 隐藏 策略 思想 ， 


出 了 一 种 在 素数 阶 上 完全 


数据 和 访问 策 
本 文 设计 出 


种 在 素数 阶 上 完全 
了 具体 算法 构造 ， 安 全 


隐藏 策略 的 基于 
性 分 析 和 性 能 分 析 ， 不 仅 实现 了 数据 共 


RS 


属 怕 


可 搜索 


享 ,提高 了 检索 效率 ,1 
1 ”基础 知识 


在 口 


1.1 符号 说 明 


A 


方案 ， 给 出 


还 保 记 


本 文 使 有 
1.2 定义 
定义 1 


双 线 


的 符号 


如 表 1 


生 群 。 


E 了 访问 策略 的 机 密 信 


所 示 。 


息 不 被 泄露 。 


设 P,9 是 素数 ，G,G, 分 别 是 阶 为 P,9 的 乘法 循环 群 , 双 


许 盛 伟 ， 等 : 完 


线性 对 映射 e:G xG 一 CD 。 
a) 双 线 性 


对 于 任意 的 4,b eZ, 和 Xx,y eG 都 有 


e(x",y") 


-站 


对 于 任意 的 ,xX,,y》EG 有 


如 果 映 射 e 满足 下 述 


= e(X, y)” 


Ee(XN, y) = e(X, y)e(x,, y) 0 


b) 非 退化 性 


存在 X,yeG 使 得 e(X,y) 关 1， 其 中 1 是 


c) 可 计算 性 


存在 有 效 的 多 项 式 时 间 算 法 对 任 


性 质 : 


意 的 yeG ， 计 算 


e(x,y) 的 值 。 
表 1 符号 说 明 
符号 含义 
G 生成 元 为 8 ， 阶 数 为 素数 P 的 双 线 性 群 
e:G XxG GG, 一 个 双 线性 映射 ， Gi,G, 是 乘法 循环 群 。 
哈 希 函数 ， 把 任何 属性 描述 为 一 个 二 进 制 的 字符 
已:{0 一 G 
串 ， 然 后 映射 到 Gi 中 的 一 个 元 素 
刀 ,:G, 一 G， 丛 希 函数 
CT 密 文集 合 
属性 集合 
TY 访问 策略 集合 
I. 关联 于 w 的 搜索 陷 门 


定义 2 BDH: 双 线 性 Diffle-Hellman 问题 。 


一 个 双 线 性 
给 定 一 个 四 元 组 (g,g",g",g?) ， 


定义 3 DBDH: 判定 双 线 性 
映射 : e:G xG 一 G, ,其 
给 定 一 个 五 元 组 (8,8",8",8,n),r eG, ,类 


一 个 双 线 性 


1.3 属性 及 访问 策略 定义 


映射 : e:G xG 一 G,，, 其 
计算 e(g8,8)” eG,。 

Diffle-Hellman 问题 。 
PF 随机 数 a,b,c e 22， 


| 定 是 否 e(8, 8) 


abc 


FP 随机 数 a,b,c eZ,， 


在 给 出 方案 之 前 ， 先 描述 方案 的 各 部 分 定义 如 下 : 属性 全 
集 4={4,4,……,A44}， 且 |4 上 Fn 表示 全 部 属性 个 数 。4 的 可 能 
取 值 集 为 六 = 。 用 户 的 属性 集 为 
U ={01,0,,….,U,},Uie 4。 为 用 户 的 每 一 个 属性 设置 一 个 标记 ， 
记 为 上 ， 取 值 有 0 和 1。 若 Kk[ 让 =1， 表 示 用 户 拥 有 此 属性 且 
U; SEV; 若 K[ 让 =0，, 表示 用 户 并 不 具有 此 属性 。 访问 策略 表示 


为 Y={Y,Y,,..…, Y,}, 


每 个 属性 4 设置 


个 标记 , 记 为 上 [] ， 


YESE4。 同 理 ， 在 生成 访问 策略 时 ， 为 


取 


表示 下 表 为 i 的 属性 “必须 
“必须 没有 ”大 Kk[i 让 =*， 表 示 此 
在 访问 策略 中 ， 


所 有 下 标 为 (1,2, 


值 有 1,0,* o 若 大 [可 =1 » 
” 车 k[ 引 =0，, 表示 下 表 为 i 的 属性 
属性 “无 关 紧 要 ”， 可 有 可 无 。 


2) 的 属性 之 间 月 


行 连接 ， 同 一 属 


性 不 同 的 取 值 之 | 


拉 或 "进行 连接 。 


Ss 


人 过 
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录用 稿 
给 定 属 性 集合 UVU={Ui,U2…U,} 和 访问 策略 
了 了 ={, 了 yy…. 了 ,} ， 若 用 户 属性 满足 访问 策略 ， 则 必须 满足 : 


访问 策略 中 K[]=1 的 属性 Y;， 其 对 应 的 属性 以 的 标记 也 要 
足 k 中 =1; 访问 策略 中 站 =0 的 属性 Y;， 其 对 应 的 用 户 属 1 
Ui; 的 标记 必须 也 为 [i=0。 只 有 这 两 个 条 件 同 时 满足 , 才能 称 
用 户 属 性 满足 访问 策略 。 

1.4 ”选择 关键 词 明 文 的 不 可 区 分 性 安全 

在 阐明 此 定义 之 前 ,首先 定义 在 选择 集合 模型 下 攻击 游戏 : 
a) 初 始 化 。 政 手 选择 它 想 攻击 的 属性 集 , 成 为 挑战 属性 集 ， 
将 此 属性 集 发 送 给 挑战 者 。 挑 战 者 运行 系统 初始 化 算法 ， 
将 所 得 的 公共 参数 发 送 给 敌手 。 

b) 阶段 一 。 政 手 根据 选 定 的 访问 策略 进行 门限 查询 ， 但 是 
要 求 是 敌手 想 攻击 的 属性 集 〈 挑 战 属性 集 ) 是 不 满足 这 些 访问 
策略 的 ， 敌 手 可 以 任意 选择 关键 词 进行 门限 查询 。 

c) 阶段 二 。 挑 战 阶段 。 敌 手 随意 选择 两 个 不 同 的 关键 词 
wo, Wi 发送 给 挑战 者 , 挑战 者 随机 选择 其 中 的 一 个 w, (be{0,1} ) 
进行 加 密 ， 并 将 加 密 结 果 告 知 敌 手 。 
d) 阶段 三 。 重 复 阶 段 一 的 操作 , 政 手 继续 选择 关键 词 进 行 
门限 查询 ， 但 是 要 求 选 定 的 关键 字 ww 和 fo,W] 。 

e) 阶段 四 。 最 后 敌手 输出 猜测 值 2 ， 若 b =b ， 则 敌手 猜 
测 正确 获胜 ， 所 以 敌手 在 整个 游戏 中 的 攻击 优势 为 
Adv4 prlb =b] -1/2|。 

所 以 在 攻击 游戏 下 ， 若 敌手 在 多 项 式 时 间 内 的 攻击 优势 
Adv 是 忽略 不 计 的 ， 那 就 可 以 称 此 方案 是 在 选择 集合 模型 下 是 
安全 的 。 


2 ”完全 隐藏 策略 的 基于 属性 可 搜索 加 密 方案 算法 构 
造 及 分 析 


2.1 方案 算法 构造 

本 文 将 构造 一 种 隐藏 访问 策略 的 KP-ATTPEKS( 密 钥 策 略 
的 基于 属性 可 搜索 加 密 方案 )。 具 体 算法 如 下 : 

a) Setup(n) 一 (puk,msk) 。 

运行 系统 初始 化 算法 ， 输 入 属性 集 个 数 n。 Gi 是 一 个 阶 为 


京 训 


> 


素数 P ， 生 成 元 为 8 的 双 线 性 群 且 存在 双 线 性 映射 
e:G xG 习 G,， 在 群 G 中 任 取 0,p D 随机 选取 二) 2 ， 
j=1,2,.…on ;j=1,2,…4。 输 出 为 公共 参数 以 及 主 密 钥 , 分 别 
为 

pub =<e,p,g8,{T.,} 3, 80,81Y > 
其 中 T=g"’ eG,g =g8",8 = 9,Y=e(g,8)"， 


j=1,2,...b 
msk 二 入 CQ， PB,{ti bo; Ge n >。 


b) KeyGen(pub,msk,Y)—> sk 。 


输入 为 公共 参数 pub 、 主 密 钥 msk ， 以 及 访问 策略 
Y={, Ty 了 ,} ， 权 威 中 心 随机 选择 resZ, ， 所 以 定义 : 


许 盛 伟 ， 等 ; 完全 隐藏 策略 的 基于 属性 可 搜索 加 密 万 案 
8 ,Kk[i] = 
D=g"",D 人 


所 以 ， 输 出 私 钥 为 : 
sk=<D,{D,|ield,2,....n),j ell,2,...1)} > 


c) Enctypt(U,w)—> CT., 
输入 属性 列表 U0 ={01,0,,……U,} 和 关键 词 w, 数据 拥有 者 


选择 5,iveZ,， 上 且 5S=2stntv ， 然 后 计算 
i=l 


以 及 

- (CT 8)"), Ki] =1 
CC 
C= 8 (Cm Chi) ee 


Co = 万 (1)e(8,8)”。 二 中 t=e(Hi(w), 80) 》 


所 以 可 得 密 文 为 : CT =< CC,{C 


j=1,2,..... 
jl? Cj gh 空 


d) Trapdoor(sk, w) 一 了 
输入 私 钥 和 要 搜索 的 关键 词 ， 生 成 搜索 陷 门 荆 , 并 输出 。 


其 中 : T=[N,X,F]=< HW),D,{D, 和 > 


e) Test(T.,CT) 5., 

此 算法 在 服务 器 端 执 行 ， 当 服务 器 收 到 用 户 提交 的 搜索 关 
键 词 陷 门 时 ， 会 执行 此 算法 与 存储 的 关键 词 密 文 进行 比较 ， 输 
出 判断 值 5,5e {0,1} 。 若 b=1, 代表 搜索 陷 门 与 关键 词 密 文 对 应 
同一 个 关键 词 ， 否 则 ， 不 是 同一 个 关键 词 。 有 具体 算法 操作 步 又 
如 下 : 

引 若 属性 U, 和 YY; 的 标记 Kli]=1 ， 


旦 VU; 三 Vi， 则 


e(Cj1D)) = e(Ty ,8" )=e(g,8)" ° 


b) 若 属性 UV; 的 标记 =1 ， 了 ;的 标记 k=* ， 则 


e(C, ;2,D,)) =e((T, SO ,8 ) =e(g, 8)” 


9 若 属 性 以 的 标记 Ki=0， 二 的 标记 KG]=0 或 *， 则 


e(C iD)=e(T 8 )’,8"")=e(g,8)" ° 
所 以 ,每 一 个 属性 必须 满足 上 述 三 个 条 件 的 任何 一 个 即 可 ， 
若 有 属性 并 不 满足 上 面 任何 一 个 条 件 ， 那 么 输出 2=0 。 

当 所 有 属性 都 属于 上 述 三 个 条 件 时 ， 则 有 


[ecg,e)” e(8,8)" ‘e(g,8)" =] [e(g8,8) 
i=1 i=l 


n 
7 > Gtvitn) 


=e(8,8) ” =e(g,8) ”=O 


所 以 ,该 算法 判断 Cy (e(C,D).0) 是 否 等 于 已 (e(T.,C)， 


若 相 等 ， 则 输出 2=1， 和 否则 输出 2=0 。 
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2.2 正确 性 验证 
述 算法 分 析 ， 


经 过 上 


C,/(e(C,D) :0)=C,/(e(g’,8”").e(g,8)") 
=C,/e(g,8)” = H,(?) 


其 中 1=e(Hi(w),g8;), 且 
H,(e(T ,C0)=H,(e(H*(w),8') =H,(e(H,(w), 8)”) 


所 以 ， 若 两 者 相等 ， 则 必 有 w=w 。 即 搜索 门限 和 关键 词 密 广 
对 应 同一 个 关键 词 ， 且 属性 集 满足 访问 策略 。 


3 ”方案 分 析 
3.1 安全 性 分 析 
1) 抗 攻击 性 


分 析 本 方案 的 抗 攻击 性 ， 本 文通 过 分 析 本 方案 在 基于 属性 
集合 模型 攻击 下 是 安全 的 ， 最 终 规约 到 求解 BDH 问题 。 
文献 [9] 给 出 的 定理 ， 也 可 以 对 本 文 方案 作出 如 下 定理 : 假设 


BDH 问题 在 群 G 上 是 难 解 的 ， 那 么 本 方案 在 基于 属性 集合 模 
型 下 可 以 达到 抗 攻击 性 安全 。 现 证 明 如 下 

证 明 假设 存在 一 个 时 间 多 项 式 算法 A 在 基于 属性 集合 的 
模型 下 以 概率 优势 5 可 攻击 隐藏 访问 策略 的 基于 属性 可 搜索 
加 密 方案 ,构建 算法 了 B 以 e > 全 的 优势 可 以 求解 DBDH 问题 
以 = > 一 一 的 优势 可 以 求解 BDH 问题 。 


eqn, qr 
设 G 为 生成 元 为 8 的 乘法 循环 群 ， 上 是 
= 8 eG 是 算法 B 的 已 知 条 件 ， 算 法 B 的 目 
标 是 得 到 v=e(g,8)” eG, 即 解决 BDH 困难 问题 。 现 模拟 算法 
B 为 挑战 者 ， 算 法 A 为 敌手 ， 他 们 之 间 的 攻击 游戏 如 下 : 

初始 化 :敌手 选择 属性 集 U = (U1,U,,….U) 并 告知 挑战 者 B， 
挑战 者 运行 系统 初始 化 算法 ， 设置 公共 参数 : 
81 一 8",8; 一 8 ,ty eZ 是 随机 选择 的 。 

第 一 阶段 : 敌手 A 问 询 挑战 属性 集 不 满足 的 访问 策略 所 生 
成 的 密 钥 。 


a b 
8 ,U8 ,Us 


所 以 ， 当 下 表 为 i 的 属性 属于 情 


况 2 时 ， 生 成 密 钥 为 


g™ ,kli]=1 


r 
gi 


,Kk[i]=0 


所 以 ， 综 上 合并 以 上 两 种 情况 ， 令 


= 六 ， 则 可 以 得 到 


,Ki]=1 
8 本 


,Kk[i] = 


a 


所 以 算法 B 可 以 构造 具有 访问 策略 Y 的 密 钥 。 

阶段 二 : 敌手 向 随机 预言 机 太 , 及 ,进行 关键 词 w 陷 门 值 二， 
的 查询 ， 过 程 同 文献 [2]。 
阶段 三 : 敌手 进行 挑战 , 任 选 两 个 关键 词 w,w, 且 作 为 挑战 
关键 词 发 送 给 挑战 者 B, B 随机 选择 be{0,1} , 生成 关键 词 密 文 
Gs 发 送 给 敌手 A， 其 中 : 


C,=<C, ‘CC a | 2 


且 7=H,(D)=H,(e(Hi(w,), 80),z=e(8,8)" 。 
阶段 四 : 重复 阶段 一 的 操作 ， 政 手 A 

Wi 以 外 的 关键 词 所 对 应 的 的 陷 门 。 
阶段 五 : 挑战 者 B 根据 敌手 A 的 判断 结果 而 输出 结果 ， 若 

A 的 猜测 为 5 ， 当 b =b 时 ,挑战 者 得 到 c =1; 若 b b， 得 到 


可 以 询问 除 关 键 词 


c =0。 所 以 算法 B 求解 DBDH 问题 的 概率 为 = > 。 又 因为 


C=g*， =,(D) =H,(e(Hi(w,),80),z=e(8,8)”， 参考 文献 [2] 


中 的 分 析 ， 根 据 随机 预言 机 及 ,的 查询 和 厂 , -list 列表 中 保留 的 
查询 数列 (1,v) , 1=e(Hi(w,),8”)=e(g8,8)”**% ,v= 玉 ,(D), 故 有 


dp =e(g,8)" o 


且 计 算出 e(g,g)” 的 概率 


a) 若 属性 集 U 满足 访问 策略 ， 贝 
TY; 的 Kk]=1，U; 的 K[i]=1 
@T; 的 Kk[]=0，U, 的 Kk[]=0 
@3 的 Kk[i]=*， 
b) 若 属性 集 U 不 满足 访问 策略 ， 
IT; 的 kj]=1，U; 的 Kk[i]=0 
@T; 的 Kk[]=0，U; 的 K[i]=1 


所 以 当下 表 为 i 的 属性 属于 


| 以 下 三 点 成 立 : 


U0, 的 k[]=0 或 1 


则 以 下 两 点 成 立 : 


情况 1 时 ， 生 成 密 钥 为 


8 ,Kk[i]=1 
D=8g8" ,Di)= 本 4D Kli]=0 
8 ,kli]=* 


e(8 8) 
GE 之 D]。 

eqn,qr 

综 上 ， 在 随机 预言 机 开 ,, ,下 ， ee 
的 基于 属性 可 搜索 加 密 方案 的 概率 为 5 ， 那 么 经 过 上 述 证 明之 


后 ， 得 到 存在 求解 中 DBDH 


DBDH 可 解 的 情况 下 ,求解 BDH 问题 的 概率 优势 为 2 = 


其 中 : dndn, 
2) 隐藏 访问 策略 


tems 


qr ” 


分 别 代表 已, 的 询问 次 数 ;9r 为 陷 门 的 询问 次 


在 传统 的 ABE 方案 中 , 访 


可 策略 是 保存 在 密 文 当中 的 , 随 


密 文 一 同上 传 到 服务 器 的 ,在 文献 [9] 中 基于 属性 的 可 搜索 加 密 


录用 稿 


方案 中 ， 服 务 器 也 是 可 以 
Test(T,,CT) 玉 5b 操作。 所 以 ， 
局 是 会 获得 访问 策略 并 从 访问 
的 泄露 ， 但 是 本 方案 是 完全 隐 


获得 访问 策略 的 ， 以 便 进 行 
在 好 奇 且 不 可 信赖 的 服务 器 上 ， 
策略 中 提取 信息 ， 从 而 造成 信息 
藏 访问 策略 的 ， 服 务 器 不 会 获得 


二 


访问 策略 ， 从 而 不 会 对 访问 策 


3) 索引 及 关键 词 的 安全 性 


各 中 的 信息 造成 泄露 。 


在 本 方案 中 ， 索 引 是 经 过 加 密 上 传 到 服务 器 的 ， 所 以 服务 


器 以 及 攻击 者 除了 获得 密 文 索 


引 之 外 ， 是 得 不 到 任何 索引 的 具 


体 明 文 信息 的 ， 从 而 保证 了 索 
陷 门 时 ， 由 于 关键 词 是 经 过 哈 
对 陷 门 中 的 关键 词 也 是 一 无 所 
3.2 性 能 分 析 


引 的 安全 性 。 用 户 在 提交 关键 词 
希 函数 进行 加 密 的 ， 所 以 服务 器 
知 的 。 


将 本 方案 与 同样 是 基于 公 钥 加 密 索 引 的 PEKSPI、AIT- 


PEKS (基于 属性 的 可 搜 
上 进行 了 比较 。 运 算 量 是 对 方 


索 加 密 ) 方案 在 运算 量 以 及 实现 功能 


案 各 部 分 算法 的 运算 次 数 进行 统 


i 计 的 ， 其 中 P 代表 双 线 性 运算 ，E 代表 指数 运算 ，H 代表 哈 希 
A 运算 ， 属 性 集 的 属性 个 数 为 n。 在 算法 列 中 Crypt 代表 加 密 操 
1 ” 作 ，Test 代表 服务 器 上 的 判断 操作 (判断 索引 密 文 与 关键 词 陷 
AQ 门 是 否 匹 配 )，Trapdoor 代表 生成 陷 门 操作 ，Setup 代表 初始 化 
忆 > 
〇 ”算法 , KeyGen 代表 生成 密 钥 操作 , 最 后 两 列 为 各 方案 的 功能 比 
< 较 ， 其 中 加 密 数 据 共享 代表 数据 密 文 可 以 让 多 用 户 进行 搜索 。 
@ 其 统计 如 表 2 所 示 。 
C9 
© 表 2 dle 
AN 算法 a 
证 操作 PEKS ATT-PEKS 本 方案 
> P 1 了 5 
>< Crypt E 2 3+n 3+2n 
© H 5 2 2 
殊 P 1 1 1 
wm Test E 0 0 0 
< H 1 1 1 
ed P 0 0 0 
Teapdoor E 0 1 1 
H 1 1 1 
P 0 0 1 
Setup E 2 2 2 
H 0 0 0 
P 0 0 0 
KeyGen E 2 O(n”) n+l 
H 0 0 0 
了 
加 密 数 据 共享 E x y y 
H 
了 
隐藏 访问 策略 E 光 x y 
H 
从 表 中 可 以 看 出 ，PEKS 的 运算 量 最 少 ， 但 是 它 是 最 先 


现 的 公 钥 可 搜索 加 密 方案 ， 当 
对 每 个 用 户 的 公 钥 以 此 来 加 密 


需要 发 送 给 多 个 用 户 时 ， 需 要 针 
生成 数字 信封 ; 当 用 户 量 较 多 时 ， 


需要 进行 多 次 加 密 ， 无 法 实现 


只 加 密 一 次 的 数据 共享 ， 而 且 用 


户 公 钥 存 储 是 一 个 很 大 的 问题 ， 还 要 进行 公 钥 证 书 的 认证 ， 以 


防 窜改 。 本 方案 与 ATT-PEKS 方案 相 比 较 发 现 ， 本 方案 在 加 密 
(Crypt) 操作 上 会 有 运算 次 数 n 的 略微 增加 ， 但 是 ATT-PEKS 
方案 却 在 KeyGen 操作 上 运算 量 达 到 了 O(n") 级 别 ， 远 大 于 本 
方案 的 运算 量 ， 并 且 还 不 具有 隐藏 访问 策略 的 功能 。 所 以 ， 综 
上 运算 量 和 功能 这 两 方面 的 比较 ， 会 发 现 本 方案 不 仅 实现 了 加 


密 数 据 共 享 和 隐藏 访问 策略 ， 还 具有 较 少 的 运算 量 。 


4 


结束 语 


本 文 首次 提出 了 有 具 有 完全 隐藏 访问 策略 的 基于 属性 可 搜索 


dt 


数 


加 密 方案 的 算法 构造 设计 ,并 对 其 安全 性 以 及 性 能 进行 了 分 析 ， 
证 明了 本 方案 是 在 属性 集合 下 可 抗 攻击 性 的 ， 还 保证 了 访问 策 
各 、 索 引 和 关键 词 的 机 密 性 ， 打 破 了 以 往 可 搜索 加 密 方案 中 访 
问 策 略 暴露 的 限制 。 在 安全 的 前 提 下 ， 本 方案 还 能 够 实现 加 密 
据 能 被 多 方 搜索 ， 不 同 用 户 使 用 不 同 的 访问 策略 可 以 获得 与 
自己 相 匹 配 的 加 密 数 据 ,实现 了 数据 的 共享 ,提高 了 检索 效率 ， 


了 应 用 性 。 
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